Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Bedingungen für die Übereinstimmung mit Firewall-Filtern für IPv6-Datenverkehr

Sie können einen Firewall-Filter mit Bedingungen für IPv6-Datenverkehr (Internet Protocol Version 6) family inet6 konfigurieren.

Anmerkung:

Bei Routern der MX-Serie mit MPCs müssen Sie den Filterzähler für Trio-only-Match-Filter initialisieren, indem Sie beispielsweise die entsprechende SNMP-MIB show snmp mib walk name ascii gehen. Dies zwingt Junos, die Filterzähler zu erlernen und sicherzustellen, dass die Filterstatistiken angezeigt werden. Dieser Leitfaden gilt für alle Firewall-Filter mit erweitertem Modus, Filter mit flexiblen Bedingungen und Filter mit bestimmten Terminierungsaktionen. Weitere Informationen finden Sie unter der entsprechenden Dokumentation.

Tabelle 1 beschreibt die Bedingungen, die Sie auf der [edit firewall family inet6 filter filter-name term term-name from] Hierarchieebene konfigurieren können.

Tabelle 1: Bedingungen für die Übereinstimmung mit Firewall-Filtern für IPv6-Datenverkehr

Bedingungen erfüllen

Beschreibung

address address [ except ]

Passen Sie das IPv6-Quell- oder Zieladressenfeld an, es sei except denn, die Option ist enthalten. Wenn die Option enthalten ist, nicht dem IPv6-Quell- oder Zieladressenfeld übereinstimmen.

apply-groups

Geben Sie an, von welchen Gruppen Konfigurationsdaten übernommen werden sollen. Sie können mehr als einen Gruppennamen angeben. Sie müssen sie in der Reihenfolge der Vererbungspriorität auflisten. Die Konfigurationsdaten in der ersten Gruppe haben in den nachfolgenden Gruppen Priorität vor den Daten.

apply-groups-except

Geben Sie an, von welchen Gruppen konfigurationsdaten nicht übernommen werden sollen. Sie können mehr als einen Gruppennamen angeben.

destination-address address [ except ]

Passen Sie das IPv6-Zieladressenfeld an, es sei except denn, die Option ist enthalten. Wenn die Option enthalten ist, nicht dem IPv6-Zieladressenfeld übereinstimmen.

Sie können nicht sowohl die address Bedingungen als auch die Bedingungen im gleichen Begriff destination-address angeben.

destination-class class-names

Einen oder mehrere angegebene Zielklassennamen (Sätze von Ziel-Präfixen in Gruppen zusammen und mit einem Klassennamen) übereinstimmen.

Weitere Informationen finden Sie unter Bedingungen für Firewall-Filter-Übereinstimmungen basierend auf Adressklassen.

destination-class-except class-names

Nicht mit einem oder mehr angegebenen Zielklassennamen übereinstimmen. Details finden Sie in der destination-class Bedingungen für die Übereinstimmung.

destination-port number

Passen Sie das UDP- oder TCP-Zielportfeld an.

Sie können nicht sowohl die port Bedingungen als auch die Bedingungen im gleichen Begriff destination-port angeben.

Wenn Sie diese Bedingungen konfigurieren, empfehlen wir Ihnen, die Bedingungen bzw. Bedingungen im gleichen Begriff zu konfigurieren, um festzulegen, welches Protokoll für den next-header udpnext-header tcp Port verwendet wird.

Anmerkung:

Für Junos OS Weiterentwickelt werden müssen Sie die next-header Übereinstimmungsauszug im selben Begriff konfigurieren.

Sie können an der Stelle des numerischen Werts eines der folgenden Text Synonyme angeben (die Portnummern sind ebenfalls aufgelistet): afs(1483), bgp (179), biff (512), bootpcbootps (68), (67), cmdcvspserver (514), (2401), dhcp (67), domaineklogin (53), ekshell (2105), (2106) exec (512), fingerftp (21) ftp-data (20), http (80), https (443), ident (113), imap (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldap (389), ldp (646), login (513), mobileip-agent (434) mobilip-mnmsdp (435) (639), netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123), pop3 (110), pptp (1723), printerradacct (515), (1813) radius (1812) riprkinit (520) (2108) smtp und (2 5), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514), tacacs (49), tacacs-ds (65), talk (517) telnettftp (23), (69), timed (525) oder whoxdmcp (177).

destination-port-except number

Nicht dem UDP- oder TCP-Zielportfeld übereinstimmen. Details finden Sie in der destination-port Bedingungen für die Übereinstimmung.

destination-prefix-list prefix-list-name [ except ]

Passen Sie das IPv6-Zielpräfix der angegebenen Liste an, es sei except denn, die Option ist enthalten. Wenn diese Option enthalten ist, geben Sie der angegebenen Liste kein IPv6-Zielpräzing zu.

Die Prefix-Liste wird auf der [edit policy-options prefix-list prefix-list-name ] Hierarchieebene definiert.

extension-headers header-type

Passen Sie einen Headertyp der Erweiterung an, der im Paket enthalten ist, indem Sie einen Next Header-Wert identifizieren.

Anmerkung:

Diese Bedingungen werden nur auf MPCs in Routern der MX-Serie unterstützt.

Im ersten Fragment eines Pakets sucht der Filter nach einer Übereinstimmung in einem der Extension-Header-Typen. Wenn sie ein Paket mit einem Fragment-Header finden (ein nachfolgendes Fragment), sucht der Filter nur nach einer Übereinstimmung mit dem Header-Typ der nächsten Erweiterung, da die Position anderer Extension-Header nicht vorhersehbar ist.

Sie können an der Stelle des numerischen Werts eines der folgenden Text synonyme angeben (die Feldwerte sind ebenfalls aufgelistet): ah (51), destination (60), esp (50), fragment (44), hop-by-hop (0), mobility (135) oder routing (43).

Verwenden Sie das Textsyns synonym, um einen beliebigen Wert für die Option der Extension Header-Option zu any erhalten.

Bei Routern der MX-Serie mit MPCs initialisieren Sie neue Firewall-Filter, die diesen Zustand enthalten, durch Gehen der entsprechenden SNMP-MIB.

first-fragment

Geben Sie an, ob das Paket das erste Fragment ist.

 

extension-headers-except header-type

Den im Paket enthaltenen Erweiterungs-Headertyp nicht übereinstimmen. Details finden Sie in der extension-headers Bedingungen für die Übereinstimmung.

Anmerkung:

Diese Bedingungen werden nur auf MPCs in Routern der MX-Serie unterstützt.

flexible-match-mask value

bit-length

Länge der Eingabe einer ganzen Zahl (1,32 Bit);

(optional) Länge der String-Eingabe (1,128 Bit)

bit-offset

Bit-Offset nach dem Ausgleich (Match-Start + Byte) (0,7)

byte-offset

Byte-Offset nach Dem Match-Startpunkt

flexible-mask-name

Wählen Sie eine flexible Übereinstimmung aus einem vordefinierten Vorlagenfeld aus

mask-in-hex

Maskierung von Bits in den zu abgestimmten Paketdaten

match-start

Startpunkt zur Übereinstimmung mit dem Paket

prefix

Wertdaten/zeichenkette

Weitere Informationen finden Sie in den flexiblen Bedingungen für Firewall-Filter-Filter

flexible-match-range value

Bereiche sollten das folgende Format verwenden: GanzzahlGanzzahl

bit-length

Länge der in Bits (0.32) zu abgestimmten Daten

bit-offset

Bit-Offset nach dem Ausgleich (Match-Start + Byte) (0,7)

byte-offset

Byte-Offset nach Dem Match-Startpunkt

flexible-range-name

Wählen Sie eine flexible Übereinstimmung aus einem vordefinierten Vorlagenfeld aus

match-start

Startpunkt zur Übereinstimmung mit dem Paket

range

Bereich von aufeinander abgestimmten Werten

range-except

Diesen Wertebereich nicht übereinstimmen

Weitere Informationen finden Sie in den flexiblen Bedingungen für Firewall-Filter-Filter

forwarding-class class

Passen Sie die Weiterleitungsklasse des Pakets an.

assured-forwardingbest-effortexpedited-forwarding Spezifizieren, oder network-control .

Informationen zu Weiterleitungsklassen und internen Router-Output-Warteschlangen finden Sie unter Informationen dazu, wie Weiterleitungsklassen Klassen Ausgangswarteschlangen zuweisen.

forwarding-class-except class

Nicht mit der Weiterleitungsklasse des Pakets übereinstimmen. Details finden Sie in der forwarding-class Bedingungen für die Übereinstimmung.

hop-limit hop-limit

Passen Sie die Hop-Begrenzung an die angegebene Hop-Begrenzung oder einen bestimmten Hop-Limit an. Geben Sie einen einzelnen Wert oder einen Bereich von Werten hop-limit von 0 bis 255 an.

Wird nur auf Schnittstellen unterstützt, die auf MICs oder MPCs in Routern der MX-Serie gehostet werden.

Anmerkung:

Diese Bedingungen werden auf Routern der PTX-Serie unterstützt, enhanced-mode wenn sie auf dem Router konfiguriert sind.

hop-limit-except hop-limit

Passen Sie der Hop-Begrenzung nicht der angegebenen Hop-Begrenzung bzw. der festgelegten Hop-Limite an. Details finden Sie in der hop-limit Bedingungen für die Übereinstimmung.

Wird nur auf Schnittstellen unterstützt, die auf MICs oder MPCs in Routern der MX-Serie gehostet werden.

Anmerkung:

Diese Bedingungen werden auf Routern der PTX-Serie unterstützt, enhanced-mode wenn sie auf dem Router konfiguriert sind.

icmp-code message-code

Dem ICMP-Nachrichtencodefeld übereinstimmen.

Wenn Sie diese Bedingungen konfigurieren, empfehlen wir Ihnen, die Bedingungen bzw. Bedingungen im next-header icmpnext-header icmp6 selben Begriff zu konfigurieren.

Wenn Sie diese Bedingungen konfigurieren, müssen Sie auch die Bedingungen für die icmp-type message-type Übereinstimmung im selben Begriff konfigurieren. Ein ICMP-Nachrichtencode stellt spezifischere Informationen als ein ICMP-Nachrichtentyp zur Verfügung. Die Bedeutung eines ICMP-Nachrichtencodes hängt jedoch vom zugehörigen ICMP-Nachrichtentyp ab.

Sie können an der Stelle des numerischen Werts eines der folgenden Text synonyme angeben (die Feldwerte werden ebenfalls aufgelistet). Die Keywords werden nach dem zugehörigen ICMP-Typ gruppierungen:

  • Parameter-Problem: ip6-header-bad(0), unrecognized-next-header (1), unrecognized-option (2)

  • Zeit ist überschritten: ttl-eq-zero-during-reassembly(1) ttl-eq-zero-during-transit (0)

  • nicht erreichbar: administratively-prohibited(1), address-unreachable (3), no-route-to-destination (0), port-unreachable (4)

icmp-code-except message-code

Dem ICMP-Nachrichtencodefeld nicht übereinstimmen. Details finden Sie in der icmp-code Bedingungen für die Übereinstimmung.

icmp-type message-type

Dem Feld "ICMP-Nachrichtentyp" übereinstimmen.

Wenn Sie diese Bedingungen konfigurieren, empfehlen wir Ihnen, die Bedingungen bzw. Bedingungen im next-header icmpnext-header icmp6 selben Begriff zu konfigurieren.

Anmerkung:

Für Junos OS Weiterentwickelt werden müssen Sie die next-header Übereinstimmungsauszug im selben Begriff konfigurieren.

Sie können an der Stelle des numerischen Werts eines der folgenden Text synonyme angeben (die Feldwerte sind ebenfalls aufgelistet): certificate-path-advertisement (149), certificate-path-solicitation (148), destination-unreachableecho-reply (1), (129), echo-request (128), home-agent-address-discovery-reply (145), home-agent-address-discovery-request (144), inverse-neighbor-discovery-advertisementinverse-neighbor-discovery-solicitation (142), (141), membership-query (130), membership-reportmembership-termination (131), (132) mobile-prefix-advertisement-reply (147) mobile-prefix-solicitation (146) (146) neighbor-advertisementneighbor-solicit 136), node-information-reply (135), (140), node-information-request (139), packet-too-big (2), parameter-problem (4), private-experimentation-100 (100), private-experimentation-101 (101), private-experimentation-200private-experimentation-201 (200), redirect (201), router-advertisement (137) (134), router-renumbering (138), router-solicit (133) oder time-exceeded (3).

Für (201) können Sie auch einen Bereich von Werten in quadratischen private-experimentation-201 Klammern angeben.

icmp-type-except message-type

Dem Feld für die ICMP-Nachricht nicht übereinstimmen. Details finden Sie in der icmp-type Bedingungen für die Übereinstimmung.

interface interface-name

Passen Sie die Schnittstelle an, an der das Paket empfangen wurde.

Anmerkung:

Wenn Sie diese Bedingungen mit einer Schnittstelle konfigurieren, die nicht vorhanden ist, ist der Begriff nicht mit einem Paket übereinstimmen.

interface-group group-number

Passen Sie die logische Schnittstelle an, an der das Paket an die angegebene Schnittstellengruppe oder Gruppe von Schnittstellengruppen empfangen wurde. Geben group-number Sie einen einzelnen Wert oder einen Bereich von Werten von bis 0255 an.

Um einer Schnittstellengruppe eine logische Schnittstelle zu group-number zuweisen, geben Sie die group-number in der [interfaces interface-name unit number family family filter group] Hierarchieebene ein.

Weitere Informationen finden Sie unter Übersicht über die Filterung von Paketen, die über eine Reihe von Schnittstellengruppen empfangen werden.

interface-group-except group-number

Nicht mit der logischen Schnittstelle übereinstimmen, an der das Paket an die angegebene Schnittstellengruppe oder Gruppe von Schnittstellengruppen empfangen wurde. Details finden Sie in der interface-group Bedingungen für die Übereinstimmung.

interface-set interface-set-name

Passen Sie die Schnittstelle an, an der das Paket an den angegebenen Schnittstellensatz empfangen wurde, an.

Um eine Schnittstellenschnittstelle zu definieren, fügen Sie die interface-set Anweisung auf der [edit firewall] Hierarchieebene ein.

Weitere Informationen finden Sie unter Filtern der an einer Schnittstelle empfangenen Pakete.

ip-options values

Passen Sie das 8-Bit-IP-Optionsfeld, wenn vorhanden, dem angegebenen Wert oder einer Liste von Werten an.

Sie können eines der folgenden Text synonym für einen numerischen Wert angeben (die Optionswerte sind ebenfalls aufgelistet): loose-source-route(131), record-route (7), router-alert (148), security (130), stream-id (136) strict-source-route oder timestamp (137) oder (68).

Verwenden Sie das Text-Synonym, um einen beliebigen Wert für die IP-Option zu any erhalten. Um auf mehreren Werten zu abgestimmt zu sein, geben Sie die Liste der Werte in den quadratischen Klammern (' und ' [ ' ] ein. Um einer Reihe von Werten zu entsprechen, verwenden Sie die Wertspezifikation. value1-value2 ]

Die Übereinstimmungsbedingung entspricht z. B. einem IP-Optionsfeld, das den Wert 0 bis 147 oder einen anderen Wert von ip-options [ 0-147 ]loose-source-routerecord-routesecurity 0 bis 147 enthält. Diese Übereinstimmungsbedingung passt jedoch nicht zu einem IP-Optionsfeld, das nur den Wert router-alert (148) enthält.

Bei den meisten Schnittstellen wird ein Filterbegriff, der eine Übereinstimmung für einen oder mehrere spezifische IP-Optionswerte angibt (ein anderer Wert als ) bewirkt, dass Pakete an die Routing-Engine gesendet werden, sodass der Kern das IP-Optionsfeld im Paket-Header analysieren ip-optionany kann.

  • Für einen Firewall-Filtertermin, der eine Übereinstimmung für einen oder mehrere spezifische IP-Optionswerte angibt, können Sie nur dann die bzw. die nicht endenden Aktionen angeben, wenn Sie die Terminierungsaktionen im gleichen Begriff nicht ip-optioncountlogsyslogdiscard angeben. Dieses Verhalten verhindert, dass Pakete für einen Filter, der auf eine Transitschnittstelle auf dem Router angewendet wird, doppelt zählen.

  • Im Fall eines Systemengpässes könnten Pakete, die im Kernel verarbeitet werden, eingestellt werden. Verwenden Sie die Bedingungen, um sicherzustellen, dass die abgestimmten Pakete stattdessen an den Packet Forwarding Engine (wo die Paketverarbeitung in der Hardware ip-options any implementiert wird) gesendet werden.

Der 10-Gigabit Ethernet Modular Port Concentrator (MPC), 100-Gigabit Ethernet MPC, 60-Gigabit Ethernet MPC, 60-Gigabit Queuing Ethernet MPC und 60-Gigabit Ethernet Enhanced Queuing MPC auf Routern der MX-Serie können das IP-Optionsfeld des IPv4-Paket-Headers parieren. An Schnittstellen, die auf diesen MPCs konfiguriert sind, werden alle Pakete, die mit der Bedingungen übereinstimmen, zur Packet Forwarding Engine ip-options gesendet.

ip-options-except values

Das IP-Optionsfeld muss nicht dem angegebenen Wert oder einer Liste von Werten übereinstimmen. Details zur Angabe der Bedingungen values finden Sie in der ip-options Übereinstimmungsbedingung.

is-fragment

Passen Sie an, ob es sich um ein Fragment handelt.

 

last-fragment

Geben Sie an, ob das Paket das letzte Fragment ist.

 

loss-priority level

Passen Sie die Paketverlustprioritätsebene (PLP) an.

Geben Sie eine einzelne oder mehrere Ebenen an: lowoder medium-lowmedium-highhigh

Wird auf Routern M120- M320 unterstützt. M7i- M10i mit Enhanced CFEB (CFEB-E); Router der MX-Serie und Switches der EX-Serie.

Für den IP-Datenverkehr auf M320- und MX-Serie sowie T-Serie-Routern und Switches der EX-Serie mit Enhanced II Flexible PIC Concentrators (FPCs) müssen Sie die Anweisung auf der Hierarchieebene angeben, um eine PLP-Konfiguration mit einer der vier angegebenen Ebenen tri-color[edit class-of-service] festzulegen. Wenn die tri-color Aussage nicht aktiviert ist, können Sie nur die Ebenen highlow konfigurieren. Dies gilt für alle Protokollfamilien.

Informationen zur Aussage finden Sie tri-color unter Konfigurieren und Anwenden von dreifarbigen Markierungs-Policern. Informationen zur Verwendung von BEHAVIOR Aggregate (BA)-Klassifizierern zum Festlegen der PLP-Ebene eingehender Pakete finden Sie unter Understanding How Forwarding Classes Assign Classes to Output Queues(Informationen dazu, wie Weiterleitungsklassen Klassen Ausgangswarteschlangen zuweisen).

loss-priority-except level

Nicht der PLP-Ebene übereinstimmen. Details finden Sie in der loss-priority Bedingungen für die Übereinstimmung.

next-header header-type

Matchen Sie das erste 8-Bit-Feld im nächsten Header-Feld im Paket an. Die Unterstützung der next-header Bedingungen für die Firewall-Übereinstimmung ist in einer Junos OS Veröffentlichung 13.3R6 höher verfügbar.

Für IPv6 empfehlen wir Ihnen, bei der Konfiguration eines Firewall-Filters mit Bedingungen den Begriff anstelle des Begriffs payload-protocolnext-header zu verwenden. Kann zwar auch verwendet werden, liefert jedoch die zuverlässigere Bedingungen, da sie das tatsächliche Payload-Protokoll verwendet, um eine Übereinstimmung zu finden, während einfach das im ersten Header nach dem payload-protocol IPv6-Header angezeigte Protokoll berücksichtigt wird, das möglicherweise das tatsächliche Protokoll next-header ist. Darüber hinaus wird bei Verwendung mit IPv6 der beschleunigte Filterblockierungs-Suchprozess umgangen und stattdessen der next-header Standardfilter verwendet.

Matchen Sie das erste 8-Bit-Feld im nächsten Header-Feld im Paket an.

Sie können an der Stelle des numerischen Werts eines der folgenden Text synonyme angeben (die Feldwerte sind ebenfalls aufgelistet): ah(51), dstops (60), egp (8), esp (50), fragmentgre (44), (47), hop-by-hopicmp (0), (1), icmp6icmpv6 (58), (58), igmp (2), ipip (4), ipv6 (4) mobility 1), (135), no-next-header (59), ospfpim (89), (103), routing (43), rsvpsctp (46), (132), tcpudp  (6) oder vrrp (112).

Anmerkung:

next-header icmp6 und next-header icmpv6 Bedingungen erfüllen die gleiche Funktion. Ist die bevorzugte next-header icmp6 Option. Ist im next-header icmpv6 Verborgenen Junos OS CLI.

next-header-except header-type

Nicht mit dem 8-Bit-Feld "Next Header" übereinstimmen, das den Headertyp zwischen dem IPv6-Header und der Payload identifiziert. Details finden Sie unter next-header Übereinstimmungstyp.

packet-length bytes

Passen Sie die Länge des empfangenen Pakets in Bytes an. Die Länge bezieht sich nur auf das IP-Paket, einschließlich des Paket-Headers und enthält keinen Layer-2-Einkapselungs-Overhead.

packet-length-except bytes

Nicht mit der Länge des empfangenen Pakets übereinstimmen, in Bytes. Details finden Sie unter packet-length Übereinstimmungstyp.

payload-protocol protocol-type

Passen Sie den Typ des Payload-Protokolls an.

Sie können an der Stelle des numerischen Werts eines der folgenden Text synonyme angeben (die Feldwerte protocol-type sind ebenfalls aufgelistet): oder eine Gruppe von folgenden Angaben angeben: ah(51), dstopts (60), egp (8), esp (50), fragmentgre (44), (47), hop-by-hop (0), icmp (1) icmp6 (58, igmp (2), ipipipv6 (4), (41), no-next-header , ospfpim (89), (103), routing , rsvp (46), sctp (132), tcp (6), udp (17) oder vrrp (112) (dstopts (60), fragment (44), Hop-by-Hop 0) und Routing sind nicht in Junos OS Version 16.1 und höher verfügbar.

Sie können auch die Bedingungen payload-protocol verwenden, um einen Erweiterungs-Headertyp zu verwenden, den die Juniper Networks Firmware nicht interpretieren kann. Sie können einen Bereich von Header-Erweiterungswerten innerhalb von quadratischen Klammern angeben. Wenn die Firmware den ersten Headertyp der Erweiterung findet, den sie nicht in einem Paket interpretieren kann, wird der Wert für diesen payload-protocol Extension-Header-Typ festgelegt. Der Firewall-Filter untersucht nur den ersten Typ des Extension Header, den die Firmware nicht im Paket interpretieren kann.

Anmerkung:

Diese Bedingungen werden nur auf MPCs auf Routern der MX-Serie unterstützt. Initialisieren Sie neue Firewall-Filter, die diesen Zustand umfassen, indem Sie die entsprechende SNMP-Konfiguration MIB.

payload-protocol-except protocol-type

Passen Sie nicht dem Typ des Payload-Protokolls an. Details finden Sie unter payload-protocol Übereinstimmungstyp.

Anmerkung:

Diese Bedingungen werden nur auf MPCs auf Routern der MX-Serie unterstützt.

port number

Passen Sie das UDP-, TCP-Quell- oder Zielportfeld an.

Wenn Sie diese Bedingungen für diese Übereinstimmung konfigurieren, können Sie die Bedingungen für die Übereinstimmung und die Bedingungen nicht im destination-portsource-port selben Begriff konfigurieren.

Wenn Sie diese Bedingungen konfigurieren, empfehlen wir Ihnen, die Bedingungen bzw. Bedingungen im gleichen Begriff zu konfigurieren, um festzulegen, welches Protokoll für den next-header udpnext-header tcp Port verwendet wird.

Anmerkung:

Für Junos OS Weiterentwickelt werden müssen Sie die next-header Übereinstimmungsauszug im selben Begriff konfigurieren.

Sie können eines der unter . destination-port

port-except number

Dem UDP- oder TCP-Quell- bzw. Zielportfeld nicht übereinstimmen. Details finden Sie in der port Bedingungen für die Übereinstimmung.

prefix-list prefix-list-name [ except ]

Passen Sie die Präfixe der Quell- oder Zieladressenfelder den Präfixen in der angegebenen Liste an, es sei denn, die except Option ist enthalten. Wenn diese Option enthalten ist, geben Sie die Präfixe der Quell- oder Zieladressenfelder nicht den Präfixen in der angegebenen Liste an.

Die Prefix-Liste wird auf der [edit policy-options prefix-list prefix-list-name] Hierarchieebene definiert.

service-filter-hit

Passen Sie ein Paket an, das von einem Filter empfangen wurde, an service-filter-hit dem eine Aktion angewendet wurde.

source-address address [ except ]

Passen Sie die IPv6-Adresse des Quellknotens an, der das Paket sendet, es sei except denn, die Option ist enthalten. Wenn die Option enthalten ist, nicht mit der IPv6-Adresse des Quellknotens übereinstimmen, der das Paket sendet.

Sie können nicht sowohl die address Bedingungen als auch die Bedingungen im gleichen Begriff source-address angeben.

source-class class-names

Einen oder mehrere angegebene Quellklassennamen (Sätze von Quell-Präfixen, gemeinsam und mit einem Klassennamen) übereinstimmen.

Weitere Informationen finden Sie unter Bedingungen für Firewall-Filter-Übereinstimmungen basierend auf Adressklassen.

source-class-except class-names

Nicht mit einem oder mehr angegebenen Quellklassennamen übereinstimmen. Details finden Sie in der source-class Bedingungen für die Übereinstimmung.

source-port number

Passen Sie das UDP- oder TCP-Quellportfeld an.

Sie können nicht die port Bedingungen im gleichen Begriff source-port angeben.

Wenn Sie diese Bedingungen konfigurieren, empfehlen wir Ihnen, die Bedingungen bzw. Bedingungen im gleichen Begriff zu konfigurieren, um festzulegen, welches Protokoll für den next-header udpnext-header tcp Port verwendet wird.

Anmerkung:

Zur Junos OS müssen Sie die Aussage oder Übereinstimmung im next-headernext-header tcp selben Begriff konfigurieren.

Sie können eines der Texts synonym für den numerischen Wert angeben, der mit der destination-port number Übereinstimmungsbedingung aufgelistet ist.

source-port-except number

Dem UDP- oder TCP-Quellportfeld nicht übereinstimmen. Details finden Sie in der source-port Bedingungen für die Übereinstimmung.

source-prefix-list name [ except ]

Passen Sie das IPv6-Adressen-Präfix des Paketquellenfelds an, wenn die Option nicht enthalten except ist. Wenn diese Option enthalten ist, wählen Sie das Präfix der IPv6-Adresse des Paketquellenfelds nicht aus.

Geben Sie einen auf der Hierarchieebene definierten Namen einer [edit policy-options prefix-list prefix-list-name] Prefix-Liste an.

tcp-established

Passen Sie andere TCP-Pakete an als das erste Paket einer Verbindung. Dies ist ein Text synonym für tcp-flags "(ack | rst)" ( 0x14 ).

Anmerkung:

Mit dieser Bedingung wird nicht implizit geprüft, ob TCP das Protokoll ist. Geben Sie die Bedingungen für die Übereinstimmung an, um protocol tcp dies zu überprüfen.

Wenn Sie diese Bedingungen konfigurieren, empfehlen wir Ihnen, die Bedingungen für die Übereinstimmung im next-header tcp selben Begriff zu konfigurieren.

tcp-flags flags

Matchen Sie einen oder mehrere der niedrigeren 6 Bits im 8-Bit-TCP-Flags-Feld im TCP-Header an.

Um einzelne Bitfelder anzugeben, können Sie die folgenden Texts synonyme oder Hexadezimalwerte angeben:

  • fin(0x01)

  • syn(0x02)

  • rst(0x04)

  • push(0x08)

  • ack(0x10)

  • urgent(0x20)

In einer TCP-Sitzung wird der SYN-Flag nur im ursprünglichen Paket festgelegt, und der ACK-Flag wird in allen Paketen festgelegt, die nach dem ursprünglichen Paket gesendet werden.

Sie können mehrere Flags mithilfe der bitfeldbasierten logischen Operatoren aneinander anketten.

Kombinierte Bitfeld-Bedingungen finden Sie in den Bedingungen tcp-established und tcp-initial übereinstimmungen.

Wenn Sie diese Bedingungen konfigurieren, empfehlen wir Ihnen, die Bedingungen im selben Begriff zu konfigurieren, um anzugeben, dass das TCP-Protokoll am next-header tcp Port verwendet wird.

tcp-initial

Dem ursprünglichen Paket einer TCP-Verbindung übereinstimmen. Dies ist ein Text synonym für tcp-flags "(!ack & syn)" .

Mit dieser Bedingung wird nicht implizit geprüft, ob TCP das Protokoll ist. Wenn Sie diese Bedingungen konfigurieren, empfehlen wir Ihnen, die Bedingungen für die Übereinstimmung im next-header tcp selben Begriff zu konfigurieren.

traffic-class number

Dem 8-Bit-Feld, das die Class-of-Service (CoS)-Priorität des Pakets angibt, übereinstimmen.

Dieses Feld wurde zuvor als Typ-of-Service-Feld (ToS) in IPv4 verwendet.

Sie können einen numerischen Wert von 0 bis 63 angeben. Um den Wert in Hexadezimalform anzugeben, geben Sie 0x als Präfix ein. Um den Wert in binärer Form anzugeben, geben Sie b als Präfix ein.

Sie können an der Stelle des numerischen Werts eines der folgenden Text synonyme angeben (die Feldwerte sind ebenfalls aufgelistet):

  • RFC 3246, An Expedited Forwarding PHB (Per-Hop Behavior), definiert einen Codepunkt: ef(46).

  • RFC 2597, Assured Forwarding PHB Group, definiert 4 Klassen mit 3 Drop-Precedences in jeder Klasse für insgesamt 12 Codepunkte:

    • af11 (10), af12 (12), af13 (14)

    • af21 (18), af22 (20), af23 (22)

    • af31 (26), af32 (28), af33 (30)

    • af41 (34), af42 (36), af43 (38)

traffic-class-except number

Das 8-Bit-Feld, das die Priorität CoS Paket angibt, nicht übereinstimmen. Details finden Sie in der traffic-class Übereinstimmungsbeschreibung.

Anmerkung:

Wenn Sie eine IPv6-Adresse in einer Übereinstimmungsbedingung (die , oder Bedingungen) angeben, verwenden Sie die Syntax für addressdestination-address in RFC source-address 4291, IP Version 6 Addressing Architecturebeschriebene Textdarstellungen. Weitere Informationen zu IPv6-Adressen finden Sie unter IPv6-Übersicht und unterstützte IPv6-Standards.

Release-Verlaufstabelle
Release
Beschreibung
13.3R6
Die Unterstützung der next-header Bedingungen für die Firewall-Übereinstimmung ist in einer Junos OS Veröffentlichung 13.3R6 höher verfügbar.